SIM-свопинг, нацеленный на держателей криптовалюты, набирает обороты в Калифорнии. Вид мошенничества, подразумевающий присвоение чужого телефонного номера через махинации с SIM-картой, становится одним из «наивысших приоритетов» полиции.

В блоге об интернет-безопасности KrebsOnSecurity опубликовано интервью с калифорнийской правоохранительной группой REACT, специализирующейся на борьбе с киберпреступностью, в котором полицейские рассказывают о «новом увлечении» крипто-мошенников, использующих 99-центовую SIM-карту, купленную на eBay, для кражи миллионов в криптовалюте с помощью всего лишь одного звонка.

Как известно, SIM-свопинг — это процесс, когда провайдер связи переводит номер телефона жертвы на SIM-карту, принадлежащую хакеру, обычно купленную на eBay и подключённую к одноразовому телефону.

«Мы говорим о детях в возрасте в основном между 19 и 22, способных украсть миллионы долларов в криптовалютах […] мы теперь имеем дело с кем-то, кто покупает 99-центовую SIM-карту на eBay, подключает её к дешёвому одноразовому телефону, совершает звонок и крадёт миллионы долларов. Это удивительно», — отмечает руководитель REACT Сэми Тарази (Samy Tarazi).

Согласно результатам расследования журналистов портала Motherboard, организовать ставший «широко распространённым» SIM-свопинг — «сравнительно легко», в то время как «мобильные телефоны сотен людей по всей территории США уже вовлечены» в мошенничество такого рода.

Действительно, в Калифорнии, где базируется команда REACT, SIM-свопинг, похоже, стал очень популярен:

«Это, возможно, наивысший приоритет REACT на текущий момент, учитывая, что SIM-свопинг в реальности происходит с кем-то, вероятно, даже пока мы с вами разговариваем», — заявляет Тарази.

В то же время он подчёркивает: что «есть только несколько десятков лиц», ответственных за совершение этих преступлений:

«Учитывая суммы, которые были украдены, и число людей, успешно провернувших это, число это, вероятно, историческое».

Как это устроено

Имея доступ к номеру телефона жертвы, хакеры получают возможность сбросить пароль владельца и войти в учётные записи, включая e-mail и аккаунты криптовалютных бирж. Таким образом они добираются до средств в криптовалюте, хранящимся на горячих кошельках.

Тактика, которую используют злоумышленники для SIM-свопинга, может быть разной. По информации Motherboard, мошенники часто вовлекают инсайдеров провайдеров связи, которые получают за это щедрое вознаграждение.

«Их все используют […] Когда вы говорите кому-то [кто работает в телекоммуникационной компании], они могут сделать деньги, они делают это», — цитирует Motherboard анонимного «похитителя» SIM-карт.

Другой анонимный источник, имеющий отношение к оператору связи Verizon, рассказал журналистам портала, что к нему обратились на форуме Reddit с предложением взятки в обмен на замену SIM-карты. Аналогичным образом один из менеджеров магазина компании T-mobile получил сообщение от злоумышленников после публикации в Instagram своего фото с тэгом #T-mobile. По его словам, ему предложили зарабатывать до $1000 в неделю за передачу телефонных номеров потребителей, купивших новые SIM-карты.

Ещё один сотрудник Verizon заявил, что хакер, нашедший его на Reddit, пообещал, что они могут заработать «$100 000 за несколько месяцев», — всё, что нужно делать — «либо активировать SIM-карты для хакера во время своей работы или дать хакеру его удостоверение сотрудника и PIN-код».

Детектив Окружной прокуратуры Santa Clara County Калеб Тёттл (Caleb Tuttle) выделил три наиболее общих сценария SIM-свопинга:

  • Хакер даёт взятку или угрожает сотруднику магазина поставщика связи, вовлекая его в соучастие в преступлении;
  • Действующий и/или бывший сотрудник магазина намеренно открывает доступ к данным потребителей;
  • Сотрудник магазина обманывает ничего не подозревающих коллег, заменяя существующую SIM-карту жертвы на новую.

SIM-свопинг позволяет ворам обойти даже двухфакторную аутентификацию, особенно, если используется резервное копирование SMS, предупреждает издание Wired. Комментарии детектива Тёттла для KrebsOnSecurity подтверждают это: он советует пользователям отказаться от работы с текстовыми сообщениями для двухфакторной аутентификации своих аккаунтов электронной почты. В частности, в качестве возможной альтернативы он упоминает мобильные приложения Authy или Google Authenticator:

«Давайте предположим, у меня есть аккаунт Coinbase, и я настроил его таким образом, чтобы требовался пароль и одноразовый код, генерируемый Authy, но мой Gmail-аккаунт, привязанный к этой учётной записи Coinbase, не использует Authy и использует только SMS для двухфакторной аутентификации. Как только я заменю SIM-карту этого человека, я также могу использовать этот доступ для [запроса ссылки с помощью текстового сообщения] для сброса его пароля в Gmail, и затем установить Authy на учётную запись Gmail, используя моё устройство. Теперь у меня есть доступ к вашей учётной записи Coinbase, и я могу эффективно «выключить» вас из обеих систем».

Сержант Тарази также призывает пользователей увидеть потенциальную опасность в двухфакторной аутентификации на базе SMS, хотя это стало обычной практикой для онлайн-сервисов:

«Большинство людей, не отслеживающих проблему SIM-свопинга, даже не подозревают, что их телефон и связанные учётные записи могут быть захвачены так просто. […] В этом случае жертва не скачивала вредоносное ПО и не повелась на какой-то глупый фишинговый e-mail. Они просто оказываются скомпрометированы потому, что следуют стандартам индустрии».

Кто мишень?

Случаи, которые уже привели к уголовным процессам, показывают: активные участники криптосообщества — главная цель злоумышленников: они могут работать в стартапах, деятельность которых связана с криптовалютами, участвовать в качестве спикеров в блокчейн-конференциях или обсуждать свои криптоинвестиции в социальных медиа.

Лейтенант REACT Джон Роуз (John Rose) объясняет, что для SIM-свопера гораздо проще и надёжнее украсть только средства в криптовалюте, даже если они обнаружат пароли для счетов традиционных банков:

«Многие жертвы SIM-свопинга по понятным причинам очень напуганы в связи с тем, как много персональной информации было затронуто в ходе атаки. Но хакеры преимущественно заинтересованы в краже криптовалют ввиду той простоты, с которой эти средства могут быть отмыты через онлайн-биржи и потому, что транзакции не могут быть отменены».

Команда REACT участвовала в расследованиях нескольких преступлений с использованием SIM-свопинга.

Например, по данным KrebsOnSecurity, в начале июля этого года Кристиан Ферри (Christian Ferri), CEO криптовалютной компании BlockStar из Сан-Франциско, стал жертвой хакеров, потеряв $100 000 в виртуальной валюте.

Ферри был в поездке в Европе, когда обнаружил, что его телефон, оператором связи которого являлась компания T-Mobile, больше не обслуживается — предположительно, хакеры получили доступ к базе данных пользователей T-Mobile и деактивировали SIM-карту. Вместо этого они активировали новую, которая была привязана к их устройству.

Хакеры изменили пароль учётной записи Gmail, затем получили доступ к документу Google Drive с учётными данными Ферри для остальных сайтов, включая криптовалютные биржи. Несмотря на возможность украсть больше денег, целью злоумышленников стали лишь средства в криптовалюте.

Примечательно, что когда Ферри обратился к T-Mobile в попытке разобраться в ситуации, компания проинформировала его, что злоумышленник в магазине T-Mobile показал поддельное удостоверение личности. Однако когда команда REACT изучила записи камер наблюдения, никакого доказательства появления в магазине человека с поддельными документами найдено не было. Ферри предполагает, что объяснение инцидента, предложенное T-Mobile, «было недоразумением в лучшем случае, а скорее всего — сокрытием на каком-то уровне».

Первые аресты уже произошли

Первый случай заведения уголовного дела против человека, организовавшего мошенничество с криптовалютой посредством SIM-свопинга, получил огласку в конце июля этого года, когда калифорнийская полиция арестовала 20-летнего Джо Ортиза (Joe Ortiz), обвинив его в осуществлении атаки в отношении нескольких человек во время проведения конференции Consensus в Нью-Йорке в мае.

Рассмотрение коллективного иска против молодого человека привело к предъявлению обвинений по 28 пунктам: 13 касаются хищения личных данных, 13 — осуществления хакерской атаки, 2 — крупной кражи. Как сообщается, Ортиз, намеренно выбравший «людей, вовлечённых в мир криптовалют и блокчейна», заявил детективам, что он и его «сообщники» имеют доступ к «миллионам долларов в криптовалюте».

В августе калифорнийская полиция арестовала ещё одного SIM-свопера, 19-летнего Ксзавьера Нарваеза (Xzavyer Narvaez), которому впоследствии было предъявлено обвинение в совершении преступлений по 7 пунктам по статьям «Совершение компьютерных преступлений», «Мошенничество с личными данными» и «Хищение в крупном размере».

До ареста злоумышленник сумел потратить некоторые из украденных биткойнов на покупку спортивного автомобиля — McLaren 2018 года, частично оплатив покупку биткойнами и частично — через «трейд-ин» Audi R8 2012 года, которую он приобрёл за биткойны в июне 2017 года.

По документам суда, представители правоохранительных органов также получили данные от провайдера биткойн-платежей BitPay и криптовалютной биржи Bittrex. Они показали, что между 12 марта и 12 июля 2018 года на счёте Нарваеза содержалось 157 биткойнов (по актуальному курсу — около $1 млн).

Ещё одно расследование, осуществлённое под контролем REACT, привело к аресту двоих человек в штате Оклахома. 23-летний Флетчер Роберт Чайлдерс (Fletcher Robert Childers) и 21-летний Джозеф Харрис (Joseph Harris) обвиняются в краже $14 млн у криптовалютной компании Crowd Machine посредством SIM-свопинга.

По данным Etherscan, около 1 млрд токенов проекта были переведены с кошелька Crowd Machine на биржи 22 сентября, после чего курс токена рухнул, потеряв около 87% своей стоимости за ночь.

Основатель и CEO Crowd Machine Крэг Спроул (Craig Sproule) подтвердил факт хакерской атаки и ареста двоих подозреваемых в Оклахоме, но отказался дать какие-либо комментарии прессе, сославшись на продолжающееся расследование.

Специальный агент, ответственный за расследование, Кен Валентайн (Ken Valentine) пояснил:

«Если подозреваемый нацелился на правильного человека, у которого есть криптовалюта на этом телефоне, тогда у вас есть немедленный доступ к ней. С двухфакторной аутентификацией у них есть номер аккаунта для криптовалюты, и они могут получить сообщения об аутентификации на заменённый телефон».

Юридический прецедент для SIM-свопинга

Юридическим прецедентом могло бы стать другое резонансное дело о SIM-свопинге, а именно $224-миллионный иск, поданный в августе предпринимателем и CEO TransformGroup из Пуэрто-Рико Майклом Терпином (Michael Terpin) против крупнейшей телекоммуникационной компании в мире AT&T: впервые клиент обвинил своего провайдера мобильной связи в предоставлении возможности хакерам завладеть его телефонным номером.

Напомним, Терпин утверждает, что потерял средства в криптовалюте на сумму $24 млн в результате двух хакерских атак, произошедших в течение семи месяцев: в 69-страничном иске упоминается два отдельных эпизода, датированных 11 июня 2017 и 7 января 2018 года. В обоих случаях AT&T не смогла защитить цифровую идентичность своего клиента.

Сначала летом 2017 года предприниматель обнаружил, что его номер AT&T подвергся хакерской атаке — телефон внезапно «умер». От своего оператора он узнал, что пароль был изменён дистанционно «после того, как 11 попыток в магазинах AT&T провалились».

После получения доступа к телефону Терпина злоумышленники использовали его персональные данные для того, чтобы взломать учётные записи, в которых телефонный номер использовался как средство верификации — и на «криптовалютных счетах» тоже. Хакеры, как утверждается, также взломали аккаунт Терпина в Skype для того, чтобы выдать себя за него и убедить одного из его клиентов отправить ему криптовалюту.

Судя по материалам дела, AT&T отрезал злоумышленникам доступ только после того, как они уже сумели украсть «значительную сумму средств» Терпина. После инцидента предприниматель встретился с представителями AT&T для обсуждения атаки, и ему пообещали, что его учётная запись будет перемещена в категорию с «повышенным уровнем безопасности» со «специальной защитой».

Тем не менее, полгода спустя телефон Терпина вновь был отключён из-за новой атаки: в документе упоминается, что со злоумышленниками «сотрудничал сотрудник магазина AT&T». Об этом говорит и тот факт, что Терпин связался с AT&T «мгновенно» после того, как его телефон перестал работать. Как сообщается, AT&T «проигнорировала» запрос. Жена истца также попыталась связаться с компанией, но, попросив соединить её с департаментом AT&T, работающим со случаями мошенничества, попала на бесконечное «оставайтесь на линии».

«То, что сделала AT&T, было похоже на отель, дающий вору с поддельными документами ключ от номера и ключ от сейфа, где можно надёжно спрятать украденные ювелирные изделия от законного владельца. AT&T ничего не делает, чтобы защитить почти 140 миллионов своих потребителей от мошенничества с SIM-картами», — говорится в документе, ставшем основой громкого судебного разбирательства.

И всё же, судя по планам REACT, правоохранительные органы в Калифорнии поставили SIM-свопинг, на особый контроль:

«REACT не планирует останавливать расследования в сфере SIM-свопинга, пока SIM-свопинг не остановится. Даже если нам придётся арестовать каждого SIM-свопера в Соединённых Штатах», — заявляет капитан Джон Роуз.